Una nuova campagna di malspam mirata verso le aziende hi-tech italiane sta diffondendo la nuova variante 5.2 del pericoloso ransomware GrandCrab, un malware “sequestra-PC” scoperto nel mese di aprile del 2018 che ha già causato danni per milioni di dollari in tutto il mondo.
Nelle precedenti varianti, GrandCrab è stato distribuito mediante diverse tecniche criminose: attraverso le reti peer-to-peer, su siti Web compromessi e massicce campagne di spam e phishing. I file criptati dalle vecchie versioni di GrandCrab fino alla 5.1 possono essere decifrati utilizzando l’apposito tool rilasciato da BitDefender.
In quest’ultima campagna di attacco, il vettore di diffusione del ransomware sono e-mail inviate con la tecnica dello spear phishing che hanno in allegato un file Word con una macro malevola. Quest’ultima, il cui codice è ovviamente offuscato e si attiva appena l’utente vittima del ransomware apre il file DOC, è stata progettata per scaricare un file denominato it.txt dall’indirizzo hXXp://134[.]209[.]88[.]23/it.txt e poi eseguirlo tramite il MS Connection Manager Profile Installer usando il comando cmstp.exe con le opzioni /s e /ns.
Indice degli argomenti
Analisi tecnica del ransomware GrandCrab 5.2
La prima azione malevola compiuta dalla variante 5.2 del ransomware GrandCrab, il cui codice è compresso con UPX (Ultimate Packer for Executables) ed è quindi auto-eseguibile, è quella di verificare se sulla macchina compromessa è in esecuzione uno dei seguenti processi:
- fsguiexe.exe
- AVP.EXE
- ekrn.exe
- avgnt.exe
- ashDisp.exe
- NortonAntiBot.exe
- Mcshield.exe
- avengine.exe
- cmdagent.exe
- cfp.exe
- smc.exe
Un’operazione, questa, che consente a GrandCrab 5.2 di controllare che il sistema non sia protetto da uno dei seguenti antivirus:
- Kaspersky
- ESET
- AntiVir
- Avast
- Norton
- McAfee
- Panda
- Sygate Firewall
- Kerio Personal Firewall
- Trendmicro
- F-Secure
- Comodo
- Windows Defender
Se così fosse, il ransomware interrompe immediatamente la sua esecuzione e si auto-cancella per non essere identificato. Se il controllo dà invece esito negativo, GrandCrab inizia a raccogliere informazioni relativi all’host compromesso, che al termine della sua azione malevola invierà al server di controllo hXXp://www[.]kakaocorp[.]link/ gestito dai criminal hacker:
- pc_user=USER
- pc_name=HOSTNAME
- pc_group=WORKGROUP
- pc_lang=it-IT
- pc_keyb=0
- os_major=Windows 7 Ultimate
- os_bit=x64
- ransom_id=15Chars Hex
- hdd=C:FIXED_<CODE>/<CODE>,E:REMOTE_<CODE>/<CODE>&”
Dopodiché, verifica la presenza di cartelle condivise sul sistema target ed effettua una ricerca per verificare la presenza su disco della nota di riscatto con le istruzioni per il pagamento del riscatto (archiviata nel file IIPTHBGFBL-MANUAL.txt). Quindi, inizia a cifrare i file presenti nell’hard disk selezionandoli tra quelli che hanno una delle estensioni indicate in figura:
Ransomware GrandCrab 5.2: i consigli per difendersi
Secondo Federico Griscioli, Information & Cyber Security Advisor presso P4I – Partners4Innovation “ancora una volta risalta come la maggior parte delle campagne di infezione di malware nascono da vere e proprie organizzazioni criminali. Nel caso di GandCrab si parla infatti di RaaS (Ransomware as a Service). Sigla che sta ad indicare la vendita sotto forma di servizio di una vera e propria piattaforma software che ha come unico fine quella di infettare le vittime con uno specifico ransomware. Considerando che questo tipo di malware è veicolato principalmente attraverso tecniche di social engineering è importante rispettare le solite regole di buon senso: diffidare di mail sospette e installare un antivirus da tenere sempre aggiornato. Infatti, al momento questo ransomware è rilevato dalla maggior parte di antivirus in circolazione”.
L’analista di P4I suggerisci quindi alcuni utili consigli per difendersi da questa minaccia: “Se infettati, è opportuno ripulire immediatamente il PC dal malware. Anche se questo non permette di poter accedere ai propri dati, garantisce che non vengano presi in ostaggio nuovi file. Inoltre, potrebbe essere utile monitorare periodicamente il sito nomoreransom nato dall’iniziativa del National High Tech Crime Unit della polizia olandese, dall’European Cybercrime Centre dell’Europol e McAfee in attesa che venga sviluppato un decryption tool per questa specifica versione”.
Infine, continua Griscioli, “se si utilizzano funzionalità tipo System Restore e/o Shadow Copy, vale la pena fare un tentativo di ripristinare il sistema o il volume compromesso ad una versione precedente. Nel caso il tentativo vada a buon fine, è importante ricordarsi di eseguire nuovamente una scansione del sistema con un buon antivirus in modo da escludere che sia stata ripristinata anche un qualsiasi file contenente il ransomware”.
Purtroppo, a differenza delle vecchie varianti, non è al momento disponibile alcun tool di decodifica dei file cifrati dal ransomware GrandCrab 5.2: l’unica arma di difesa, oltre ai preziosi consigli di Griscioli, è quindi la prevenzione.
Ecco alcune semplici regole di sicurezza informatica valide in tutti i contesti e in particolar modo in quelli aziendali, da mettere in atto per non rimanere vittime della variante 5.2 di GrandCrab:
- effettuare periodiche valutazioni sulla sicurezza dell’organizzazione;
- eseguire regolarmente i backup;
- installare il prima possibile le patch su tutti i software presenti nell’infrastruttura dell’organizzazione;
- istruire i dipendenti sulla “cyber security hygiene”;
- adottare e implementare una soluzione di sicurezza affidabile per le aziende.
